Proteggere Microsoft Exchange

Da Security e-Book.

Consigli di sicurezza su come progeggere Microsoft Exchange

Reverse Proxy

Per esporre Outlook Web Access (OWA) e i relativi servizi web come ad esempio il protocollo ActiveSync^[1], si consiglia l'uso di un reverse proxy con Apache e l'utilizzo di mod_security. Un esempio di configurazione come segue, ammettendo che il server Exchange sia all'IP address 10.10.10.100:

#Listen 443
#AddType application/x-x509-ca-cert .crt
#AddType application/x-pkcs7-crl .crl
#SSLPassPhraseDialog builtin
#SSLSessionCacheTimeout 300
#SSLMutex file:/usr/local/apache/logs/ssl_mutex
#SSLSessionCache dbm:/usr/local/apache/logs/ssl_scache

<VirtualHost _default_:443>

	DocumentRoot "/var/www/html/"
	ServerName www.garl.it:443
	ErrorLog logs/garl_error_log
	TransferLog logs/garl_access_log
	RequestHeader set Front-End-Https "On"
	SSLEngine on
	#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
	SSLCertificateFile /etc/httpd/ssl/mycert.pem
	SSLCertificateKeyFile /etc/httpd/ssl/mycertkey
	#SSLCACertificateFile /etc/pki/CA/myca.pem

	RewriteEngine On
	RewriteMap damnpercent prg:/usr/local/bin/percent_rewrite
	RewriteCond $1 ^/exchange/.*\%.*$
	RewriteRule (/exchange/.*) ${damnpercent:$1} [P]

	ProxyRequests off
	ProxyPreserveHost On

	<Location /exchange>
	   ProxyPass https://10.10.10.100/exchange
	   ProxyPassReverse https://10.10.10.100/exchange
   	   SSLRequireSSL
	</Location>

	<Location /exchweb>
	   ProxyPass https://10.10.10.100/exchweb
	   ProxyPassReverse https://10.10.10.100/exchweb
	   SSLRequireSSL
	</Location>

	<Location /public>
	   ProxyPass https://10.10.10.100/public
	   ProxyPassReverse https://10.10.10.100/public
	   SSLRequireSSL
	</Location>

	<Location /rpc>
	   ProxyPass https://10.10.10.100/rpc
	   ProxyPassReverse https://10.10.10.100/rpc
	   SSLRequireSSL
	</Location>

	<Location />
	   ProxyPass https://10.10.10.100/
	   ProxyPassReverse https://10.10.10.100/
	   SSLRequireSSL
	</Location>

	<Files ~ "\.(cgi|shtml|phtml|php3?)$">
	   SSLOptions +StdEnvVars
	</Files>

	SetEnvIf User-Agent ".*MSIE.*" \
	nokeepalive ssl-unclean-shutdown \
	downgrade-1.0 force-response-1.0

	CustomLog logs/ssl_request_log \
	"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

Lo script /usr/local/bin/percent_rewrite citato nel listato sopra serve per riscrivere le URL con il simbolo percentuale che ritorna Microsoft Exchange. Qui in basso lo script in questione:

#!/bin/bash

LOGFILE=/tmp/percent_rewrite.log
cat /dev/null > $LOGFILE

while read URL
do
NEWURL=$(echo "$URL" | sed -e "s/%/%25/g")
echo "Changing $URL to $NEWURL" >> $LOGFILE
echo $NEWURL

done

Note

↑ Il protocollo ActiveSync viene usato principalmente dai dispositivi Windows Mobile per la sincronizzazione della Mail, calendario e contatti. Questo protocollo viene anche usato da altri dispositivi, come ad esempio l'iPhone

Voci correlate

[0] Il protocollo ActiveSync viene usato principalmente dai dispositivi Windows Mobile per la sincronizzazione della Mail, calendario e contatti. Questo protocollo viene anche usato da altri dispositivi, come ad esempio l'iPhone

[1]

Proteggere Microsoft Exchange

Da Security e-Book.

Reverse Proxy

Note

Voci correlate

Visite

Strumenti personali

Navigazione

Ricerca

Strumenti

Pubblicità